KamiKakaBot
Gelombang baru serangan siber telah dikesan, menyasarkan organisasi kerajaan dan tentera di negara Asia Tenggara. Serangan ini dikaitkan dengan kumpulan Dark Pink APTAAdvanced Persistent Threat (Advanced Persistent Threat), juga dikenali sebagai Saaiwc. Antara alatan tersuai yang digunakan oleh Dark Pink ialah TelePowerBot dan KamiKakaBot, yang membolehkan kumpulan itu melaksanakan arahan sewenang-wenangnya dan mencuri data sensitif daripada peranti yang dijangkiti.
Dark Pink dipercayai berasal dari rantau Asia-Pasifik dan telah aktif sejak sekurang-kurangnya pertengahan 2021. Bagaimanapun, aktivitinya meningkat pada 2022 dan 2023, seperti yang dibuktikan oleh serangan ke atas entiti kerajaan dan tentera di Asia Tenggara baru-baru ini. Penggunaan perisian hasad yang canggih seperti KamiKakaBot menekankan keupayaan dan keazaman kumpulan untuk mencapai objektifnya. Serangan ini menimbulkan ancaman serius kepada keselamatan negara dan menyerlahkan keperluan untuk meningkatkan kewaspadaan dan langkah proaktif untuk mengurangkan risiko serangan siber.
Penggodam Menggunakan Taktik Phishing dan Dokumen Pukat
Menurut laporan terbaru daripada firma keselamatan siber Belanda EclecticIQ, gelombang serangan baharu ditemui pada Februari 2023 yang hampir menyerupai serangan sebelumnya. Walau bagaimanapun, terdapat satu perbezaan yang ketara dalam kempen ini - rutin pengeliruan perisian hasad telah dipertingkatkan untuk mengelakkan pengesanan dengan langkah anti perisian hasad dengan lebih baik.
Serangan itu mengikut strategi kejuruteraan sosial yang melibatkan penghantaran mesej e-mel yang mengandungi lampiran fail imej ISO kepada sasaran yang tidak disyaki. Fail imej ISO mengandungi tiga komponen: boleh laku (Winword.exe), pemuat (MSVCR100.dll) dan dokumen Microsoft Word. Dokumen Word adalah gangguan, manakala pemuat bertanggungjawab untuk memuatkan perisian hasad KamiKakaBot.
Untuk mengelakkan perlindungan keselamatan, pemuat menggunakan kaedah pemuatan sisi DLL untuk memuatkan KamiKakaBot ke dalam ingatan binari Winword.exe. Kaedah ini membenarkan perisian hasad memintas langkah keselamatan yang sebaliknya akan menghalangnya daripada melaksanakan.
KamiKakaBot Boleh Mencuri Maklumat Sensitif daripada Peranti Yang Dilanggar
KamiKakaBot ialah program perisian berniat jahat yang direka untuk menyusup pelayar web dan mencuri data sensitif. Malware ini juga mampu melaksanakan kod jauh menggunakan Command Prompt (cmd.exe). Untuk mengelakkan pengesanan, perisian hasad itu menggabungkan teknik canggih untuk sebati dengan persekitaran mangsa dan mengelakkan pengesanan.
Sebaik sahaja hos dikompromi, perisian hasad mewujudkan kegigihan dengan menyalahgunakan perpustakaan Pembantu Winlogon untuk membuat pengubahsuaian berniat jahat pada kunci Windows Registry. Ini membolehkan perisian hasad kekal tidak dapat dikesan dan terus menjalankan aktiviti berniat jahatnya. Data yang dicuri kemudiannya dihantar ke bot Telegram sebagai arkib ZIP.
Menurut pakar keselamatan siber, penggunaan perkhidmatan web yang sah seperti Telegram sebagai pelayan Command-and-Control (C2, C&C) adalah taktik biasa yang digunakan oleh pelaku ancaman. Pendekatan ini menjadikannya lebih sukar untuk mengesan dan menutup perisian hasad, kerana trafik kelihatan seperti komunikasi yang sah dengan perkhidmatan web. Taktik ini digunakan bukan sahaja oleh penjenayah siber biasa tetapi juga oleh pelaku ancaman berterusan yang maju.
Memandangkan peningkatan kecanggihan serangan ini, adalah penting bagi organisasi untuk mengambil langkah proaktif untuk mencegah serangan siber. Ini termasuk melaksanakan langkah keselamatan yang teguh untuk melindungi daripada perisian hasad, memastikan perisian terkini dan mendidik pekerja tentang cara mengenal pasti dan mengelakkan serangan pancingan data.
